Chez Mindbody, nous nous sommes développés localement et mondialement grâce à des acquisitions, 11 pour être précis, dont six au cours des quatre dernières années. Aujourd’hui, nous fournissons notre logiciel de planification en ligne et d’autres logiciels de gestion d’entreprise basés sur le cloud à 58 000 établissements de santé et de bien-être (salles de sport, salons, spas et autres) dans plus de 130 pays et territoires.
Grâce à toutes ces acquisitions, nous avons appris une ou deux choses sur la façon de rationaliser et d’accélérer le processus d’intégration d’une entreprise nouvellement acquise au sein de notre entreprise. Nous avons développé et perfectionné des plans de fusion et d’acquisition rigoureux, avec des objectifs de 30, 60 et 90 jours, et nous réalisons généralement une migration complète en trois mois.
Vous trouverez ci-dessous quelques conseils inspirés de notre expérience.
Gagner du temps lors de l’intégration des nouveaux employés et renforcer la sécurité avec Zscaler
En fournissant un accès facile et Zero Trust aux applications et autres ressources cloud dont les employés nouvellement acquis ont besoin, Zscaler Zero Trust Exchange et son service Zscaler Private Access (ZPA) ont aidé notre équipe opérationnelle à migrer complètement les sociétés vers Mindbody en quelques semaines. Cela s’explique en partie par le fait que Zero Trust Exchange n’a aucun matériel à gérer. L’intégration avec nos solutions d’authentification unique et multifacteur, ainsi que le déploiement de l’agent Zscaler ont été simples et transparents.
ZPA fait désormais partie intégrante de notre processus d’intégration des fusions et acquisitions. Nous avons récemment acquis une entreprise comptant plus de 500 utilisateurs. L’utilisation du service Zscaler basé sur le cloud a pris deux fois moins de temps que les VPN traditionnels, avec en parallèle la mise à disposition d’un accès Zero Trust aux ressources réseau et cloud.
De plus, si les nouveaux employés de Mindbody ne doivent accéder qu’à des applications privées spécifiques, nous pouvons utiliser Zscaler Cloud Browser Isolation pour leur donner instantanément un accès sécurisé au navigateur Web, sans avoir à faire appel à des agents de terminaux ou à des plugins supplémentaires, afin qu’ils puissent travailler immédiatement.
S’en tenir à une seule solution d’accès et créer une feuille de route détaillée
Si l’entreprise acquise a beaucoup investi dans son propre outil d’accès à distance, les employés voudront peut-être continuer à l’utiliser. Cependant, une solution unique, de préférence ZPA, pour l’ensemble de votre entreprise élargie réduit la complexité. Disposer d’un seul moyen d’accéder aux ressources réseau et cloud vous évitera bien des tracas à long terme.
Vous avez également besoin d’une feuille de route d’intégration très claire, avec des délais et des étapes réalistes, précisant comment vous allez faire passer les employés de l’entreprise acquise vers la solution d’accès choisie. Vous pouvez par exemple avoir pour objectif très raisonnable de migrer tous les utilisateurs dans un délai de 60 jours et de mettre hors service la solution existante dans un délai de 90 jours.
Dans la feuille de route, veillez à prévoir quelques semaines, en fonction de la taille de l’acquisition, pendant lesquelles l’outil existant de l’entreprise acquise et ZPA coexisteront pour accéder aux ressources réseau. Prévoyez également une phase de découverte, au cours de laquelle les applications acquises sont ajoutées au Zero Trust Exchange, suivie de tests et enfin de la mise hors service de l’outil existant.
Préciser le processus d’évaluation de la sécurité et prévoir un temps de découverte
Quelle que soit la solution que vous utilisez pour permettre à vos employés nouvellement acquis d’accéder aux ressources de votre réseau, votre feuille de route comprendra une liste des mesures à prendre pour évaluer la situation de sécurité globale de l’entreprise acquise. Cette liste doit inclure des éléments tels que le recensement du nombre de licences ZPA ou autres supplémentaires dont vous aurez besoin pour les nouveaux employés, et les types de ressources auxquels chaque catégorie ou fonction devra avoir accès.
Assurez-vous de prévoir suffisamment de temps pour déterminer qui a besoin d’accéder à quoi, car les utilisateurs ne savent souvent pas exactement ce dont ils ont besoin. Les employés peuvent effectuer leur travail sans jamais connaître le nom de toutes les applications qu’ils utilisent. Il ne s’agit pas d’un problème technologique, mais d’une question d’utilisateurs et de processus. Il faudra du temps pour déterminer quels utilisateurs utilisent quelles ressources et à quelles ressources ceux-ci doivent être autorisés à accéder.
Aider les acquisitions à adopter le Zero Trust
Si l’entreprise acquise n’a pas encore commencé son parcours Zero Trust, l’intégrer dans votre entreprise vous donne une occasion idéale d’expliquer que Zero Trust n’est pas qu’un simple terme à la mode. Vous pouvez expliquer la valeur d’une approche de sécurité Zero Trust fondée sur l’accès sur la base du moindre privilège.
Il est également important de partager les avantages d’une approche Zero Trust avec les employés de l’entreprise acquise, en particulier s’ils auront un accès plus limité aux ressources qu’auparavant. Mais, comme le confirment Deloitte et de nombreux autres cabinets d’audit et de conseil, l’approche « transformer tout en agissant », c’est-à-dire aborder simultanément l’intégration et la transformation, a beaucoup de sens.
Promouvoir la valeur de la réduction des risques auprès des dirigeants
L’utilisation d’une solution d’accès réseau Zero Trust (ZTNA) pour un accès à distance sécurisé et une feuille de route claire augmenteront considérablement les chances d’atteindre les objectifs de rentabilisation du conseil d’administration. Et comme ZPA ne requiert pas d’accès de réseau à réseau, le matériel et l’infrastructure réseau des sites acquis peuvent être mis hors service plus tôt, et les sites inutiles fermés plus rapidement.
Si vous proposez d’utiliser le Zero Trust Exchange de Zscaler, votre équipe dirigeante doit également comprendre qu’en réduisant la surface d’attaque de votre entreprise et en éliminant la menace de déplacement latéral des cyberattaques, cette approche réduit le risque associé à l’intégration de nouveaux employés. Zero Trust Exchange minimise dès le premier jour l’exposition aux menaces provenant des entités acquises.
Planifier en pensant à l’expansion et prêter attention aux détails
La fusion ou l’acquisition d’aujourd’hui n’est peut-être pas la seule fusion ou acquisition de votre entreprise, alors pourquoi recommencer s’il y en aura une autre plus tard ? Déterminez votre topologie de déploiement et faites en sorte que les étapes de votre feuille de route puissent être facilement reproduites. Avec Zero Trust Exchange comme base, nous avons essentiellement créé un modèle hautement reproductible qui permet de gagner des semaines lors de l’intégration de nouveaux employés.
De plus, créez des conventions de dénomination explicites pour vos applications et soyez cohérent dans la segmentation de vos applications et vos politiques d’accès. Ce conseil peut sembler excessif, mais cela vous évitera bien des tracas par la suite. Faites-moi confiance. D’une manière générale, être extrêmement minutieux et enregistrer vos étapes, et même votre processus de réflexion, vous fera gagner du temps à l’avenir.
Pour en savoir plus sur notre parcours Zero Trust et sur la manière dont Zscaler nous aide dans nos acquisitions et bien plus encore, je vous invite à lire l’étude de cas Mindbody ci-jointe.